Wegen der allgemeinen Verfügbarkeit von IM- und P2P-Applikationen im Internet und ihrer leichten Benutzung sind die Anwendungen sehr beliebt. Fast jede Firma habe Mitarbeiter, die im vergangenen Jahr mindestens eine Art vom IM-Applikationen genutzt hätten. Künftig werden es sogar immer mehr, die IM als eine schnelle und einfache Möglichkeit entdecken, um mit Kunden und Kollegen zu kommunizieren. Gleichzeitig würden nur wenige Firmen die Nutzung von Instant Messaging als offizielle Kommunikationsform für den Geschäftsverkehr anerkennen.
Viele Mitarbeiter würden zudem die kostenlose IM-Software aus dem Internet herunterladen, ohne sich der Risiken bewusst zu sein. Beunruhigend sei die Tatsache, dass in sämtlichen gängigen Instant Messaging Clients nach wie vor gravierende Angriffspunkte für Buffer Overflows und Denial-of-Service-Angriffe sowie unzureichende Verschlüsselungen existieren. Diese werden von Angreifern auch entsprechend genutzt.
Richtlinien bei der Nutzung von Instant Messaging
"So attraktiv und nutzerfreundlich Instant Messaging und Peer-to-Peer-Anwendungen für die Mitarbeiter auch sein mögen, die Risiken für die Unternehmen stehen dazu in keinem Verhältnis", sagt der Marketing Manager Central Europe von Surfcontrol, Gernot Huber. Daher müssten dringend geeignete Schutzmaßnahmen getroffen werden. Von den Befragten besitzen bisher mehr als 90 Prozent zwar klare Sicherheitsvorschriften für den Internet- und E-Mail-Zugang am Arbeitsplatz. Dagegen verfügen jedoch 49 Prozent über keine Regulierungen von IM- und P2P-Applikationen.
Die Mehrheit der Teilnehmer sieht im Schutz vertraulicher Daten einen der wichtigsten Sicherheitsaspekte. 83 Prozent räumten diesem Thema sogar höchste Priorität ein. Huber verweist speziell auf diesen Widerspruch und betont, dass gerade die Datenübertragung per IM und P2P keinerlei Kontrolle über die Art der vermittelten Inhalte bietet. Denn diese Transfers von Informationen sind fast immer unverschlüsselt oder haben keine kryptografische Signatur. Damit können externe Angreifer über Hijacking-Angriffe oder gefälschte Personenangaben an vertrauliche Firmendaten gelangen.
In der Studie empfiehlt Surfcontrol einige Richtlinien zur Abwehr von IM- und P2P-Risiken. Dazu gehört unter anderem die Einführung und Gewährleistung von klaren firmeninternen Richtlinien zur Nutzung von Instant Messaging und Peer-to Peer-Anwendungen am Arbeitsplatz. Zudem sollten Mitarbeiter niemals Links in unaufgefordert eintreffenden oder verdächtigen IM-Kommunikationen öffnen. Bereits der Besuch einer Website könne eine Vielzahl von Sicherheitsrisiken zur Folge haben.
7.593 Firmen nahmen an der Untersuchung teil. Sie gaben Auskünfte zu ihren IT-Security-Richtlinien bei der Internet-Nutzung am Arbeitsplatz.